移动互联安全扩展要求（二）安全区域边界

移动互联安全扩展要求

控制点

2.

安全区域边界

一、边界防护

为了防止无线网络边界与有线网络边界的混乱，要在无线网络与有线网络之间进行明确的网络安全边界划分。

a)

安全要求：应保证有线网络与无线网络边界之间的访问和数据流通过无线接入网关设备。

要求解读：应保证无线网络与有线网络之间的网络边界隔离与安全访问控制。有线网络与无线网络边界之间的访问和数据流都应通过无线接入网关设备，以防止无线安全防护边界缺失。

检查方法

核查有线网络与无线网络边界之间是否部署了无线接入网关设备。

期望结果

1.网络拓扑结构图（含有线网络、无线网络）上有明确的边界划分。

2.有线网络边界与无线网络边界之间部署了无线接入网关设备。

二、访问控制

为避免无线接入终端随意接入网络，保证无线接入终端可管可控，应通过无线接入设备实现访问控制。

a)

安全要求：无线接入设备应开启接入认证功能，并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。

要求解读：为保证无线接入终端的安全接入，可在无线接入设备上开启认证功能，部署认证服务器对无线接入终端认证，也可以采用国家密码管理机构批准的密码模块进行认证。

检查方法

核查是否开启了接入认证功能，以及是否采用认证服务器或国家密码管理机构批准的密码模块进行认证。

期望结果

1.无线接入设备开启了接入认证功能，无线接入终端接入时需要进行认证。

2.采用认证服务器或国家密码管理机构批准的密码模块进行认证。

三、入侵防范

为防止非授权无线设备接入无线网络，需要对无线接入设备进行认证和监测，防止私搭乱建无线网络和非授权接入带来的安全风险。

a)

安全要求：应能够检测到非授权无线接入设备和非授权移动终端的接入行为。

要求解读：应保证接入无线网络的无线接入设备均为已授权的设备，防止私搭乱建无线网络带来的安全隐患（例如用户自己搭建的非法Wi-Fi或恶意攻击者搭建的钓鱼Wi-Fi等）。

检查方法

1.核查是否能够检测到非授权无线接入设备和非授权移动终端的接入行为。

2.测试验证是否能够检测到非授权无线接入设备和非授权移动终端的接入行为。

期望结果

1.通过无线入侵检测系统/无线入侵防御系统（WIDS/WIPS）能够检测到非授权无线接入设备和非授权移动终端的接入行为。

2.有非授权无线接入设备和非授权移动终端接入的检测日志。

b)

安全要求：应能够检测到针对无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为。

要求解读：为保证无线接入设备的安全性，防止被攻击者采用技术手段进行攻击，应能够对无线网络攻击行为进行检测与记录。

检查方法

1.核查是否能够对网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测。

2.核查WIDS/WIPS规则库的更新是否及时。

期望结果

1.通过WIDS/WIPS能够检测到对无线网络的扫描和攻击行为。

2.有无线网络攻击行为检测日志。

3.有WIDS/WIPS规则库的版本号。

c)

安全要求：应能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态。

要求解读：为保证无线接入设备的安全性，应检测内部无线网络接入设备的SSID广播、WPS等高风险功能是否已经关闭；若发现未关闭，则应及时关闭相关高风险功能。

检查方法

核查是否能够检测无线接入设备的SSID广播、WPS等高风险功能的开启状态。

期望结果

1.通过WIDS/WIPS能够检测到无线接入设备的SSID广播、WPS等高风险功能的开启状态。

2.有无线接入设备的SSID广播、WPS等高风险功能的开启状态的检测日志。

d)

安全要求：应禁用无线接入设备和无线接入网关存在风险的功能，如：SSID广播、WEP认证等。

要求解读：为保证无线接入设备和无线接入网关的安全性，无线接入设备和无线接入网关应禁用存在风险的功能。例如，WEP存在瑕疵，易被攻击者破解等。

检查方法

核查是否关闭了SSID广播、WEP认证等存在风险的功能。

期望结果

1.有无线接入设备的SSID广播、WEP认证等高风险功能开启状态的检测日志。

2.有将无线接入设备的SSID广播、WEP认证等高风险功能关闭的配置。

e)

安全要求：应禁止多个AP使用同一个认证密钥。

要求解读：为保证无线AP的安全性，禁止多个AP使用同一个认证密钥。如果多个AP使用同一个认证密钥，那么一旦被破解，所有使用相同密钥的AP将面临相同的风险。

检查方法

核查多个AP是否分别使用不同的认证密钥。

期望结果

1.有无线AP的管理员登录口令配置。

2.不同的无线AP管理员，登录口令不同。

f)

安全要求：应能够阻断非授权无线接入设备或非授权移动终端。

要求解读：为保证接入无线网络的设备和终端均为授权终端，应定位和阻断非授权无线接入设备或非授权移动终端。若发现非授权无线接入设备或非授权移动终端，则应采用地址冲突等方式进行阻断。

检查方法

1.核查是否能够阻断非授权无线接入设备或非授权移动终端的接入。

2.测试验证是否能够阻断非授权无线接入设备或非授权移动终端的接入。

期望结果

1.通过已设置的策略，能够阻断非授权无线接入设备或非授权移动终端的接入。

2.配置了能够定位与阻断非授权无线接入设备或非授权移动终端的策略（含黑白名单策略）。